美日科技領域信息安全體系分析與啟示

唐璐 張志強 陳云偉

摘要：[目的/意義]信息安全是國家安全的重要組成部分。本文深入考察美國和日本的科技領域信息安全政府治理體系，以期為我國建設針對高技術等科技領域的信息安全治理體系提供借鑒與參考，從而提高我國科技領域信息安全與科技安全水平，為高水平科技自立自強提供堅實保障，服務于新國際形勢下的國際科技合作與競爭。[方法/過程]本文主要對美國、日本的信息保密制度、人員許可程序、專利保護制度、出口管制制度等科技領域涉密及敏感信息管理機制與具體實踐進行調研和總結，梳理了其針對政府、高校院所、企業等不同主體開展的科研活動所產生的涉密與敏感信息的分類管理方式，結合中美競爭中的具體治理實踐進行解讀。[結果/結論]美國的科技領域信息安全體系較為完善成熟、法規政策交叉配合、實踐操作靈活，注重信息保密與信息解密之間的平衡，對不同國家采取分類分級的科技信息共享與合作機制；日本的科技領域信息安全體系發展較晚，處于逐步完善過程當中。這啟示我國要研究和加強高新科技發展的信息安全體系，完善有關國際科技合作的信息安全法律法規制度，探索分類分級的科技領域信息安全治理模式。

關鍵詞：科技領域信息安全體系 美國 日本 中美競爭 科技安全

分類號：C931.5

DOI： 10.19318/j.cnki.issn.2096-1634.2022.02.11

？本文系中國科學院政策研究課題“國際科技前沿態勢研究”（項目編號：ZYS-2021-03）、中國科學院文獻情報能力建設專項項目“科技領域戰略情報研究咨詢體系建設”（項目編號：E0290001）研究成果之一。

1 前言

信息安全是科技安全和國家安全的重要組成部分，信息安全體系建設是國家總體安全體系建設的重要組成部分。2014年4月，中央國家安全委員會第一次會議上，習近平總書記首次提出“總體國家安全觀”，明確提出國家安全的12個構成要素，其中科技安全是國家安全的重要組成部分。近年來，隨著新一輪科技與產業變革的加速推進、國際科技經濟和政治競爭格局的深入演變，以高技術領域為代表的科技領域涉密與敏感信息安全問題在國際競爭中的戰略地位逐漸凸顯。我國的保密制度與信息安全管理領域發展起步較晚，隨著形勢的發展而強化治理體系建設、提升治理能力的需求日益迫切。因此，本文旨在對美國和日本的涉密信息管理、人員許可程序、專利保護制度、出口管制制度等構成的科技領域的信息安全治理體系及其合作發展情況進行系統梳理，以期為我國科技領域的信息安全治理體系建設提供啟示與借鑒，從而提高我國科技領域信息安全水平，為高水平科技自立自強提供堅實保障，服務于新國際形勢下的國際科技合作與競爭需求。

2 科技競爭與科技領域信息安全的重要性

2.1 研究背景

當今時代，世界百年未有之大變局持續演進，以新一輪科技與產業變革為代表的生產力之變是主要變量[1]。科技能力是國家實力的關鍵、大國崛起的戰略支點、大國競爭的制高點[2]。隨著科技與經濟、社會發展的深度融合，科技領域風險滲透其他領域、影響國家外交政策與政治安全[3]。科技安全已不僅影響經濟社會發展和人民福祉，而且事關大國博弈中的國家主權安全和發展利益。預判與應對科技領域風險，加強科技安全治理體系，確保國家科技自立安全愈發緊迫與關鍵[4]。

科技信息資源是重要的科技資源要素之一，為科技研發、科技成果轉化與應用提供信息支撐[5]。科技信息資源豐富與否影響研發水平與創新能力，科技信息資源安全與否影響經濟利益與軍事安全。其中，高技術尤其是關鍵核心技術的知識產權安全已成為國家安全的戰略屏障與前沿陣地[6]。對科技領域信息安全體系進行深入研究，對維護我國科技安全和國家安全、為高水平科技自立自強提供堅實機制保障、服務新時期的國際科技合作與競爭具有重要意義。

2.2 國內外研究現狀

科技安全、信息安全是學術界高度關注的研究問題之一。國外對科技安全的關注較早。1919年，有學者開始關注技術安全問題，隨后國外學者對非傳統安全、人才安全、科技體制安全等進行了大量的研究[7]。國內研究起步相對較晚。1998年，連燕華等首次提出科技安全的概念[8]。隨后，國內學者針對科技安全的概念、要素、特征、對策等問題進行了全面探討。其中，馬維野指出，信息安全是科技安全概念的重要外延之一，既包含對信息資源的法律和政策進行保護的運行系統安全，也包含對信息資源進行技術保護、對外部信息入侵進行防御的系統信息安全[9]。王世偉指出，近年來，針對“信息安全”的國內外研究多關注后者，即愈發聚焦于信息技術與通訊技術領域，大多數研究將“信息安全”與“網絡安全”“網絡空間安全”等概念相關聯、并行甚至替換使用[10]，而對前者的研究相對較少。夏文婷對我國科技項目合作中的涉密科技信息安全政策進行了分析[7]。其他直接針對科技領域信息安全的研究多關注金融[11]、現代農業[12]等具體科技領域。有些學者梳理了美國的保密制度[13-14]，但未對整體科技領域的涉密與敏感信息治理情況進行針對性解讀。

綜上所述，目前針對整體科技領域的信息安全及其治理體系的研究仍較為薄弱。因此，本文以廣義的科技領域信息安全為研究對象，以美國智庫卡內基國際和平基金會的《高科技聯盟：美日科技合作面臨的挑戰與機遇》[15]等最新報告為重要參考文獻，系統梳理美國、日本的治理體系，以期為我國科技領域信息安全治理與體系建設提供借鑒，提高科技領域涉密與敏感信息安全保護整體水平，也為在大國戰略競爭中，合理開展國際科技合作、探索分層級分類別的科技信息保密與共享提供思路。

3 美國科技領域信息安全體系

美國已形成針對不同科研主體與信息敏感程度分類管理的、較為完備的科技領域信息安全體系。針對美國政府開展或資助的科研活動所產生的涉密信息，主要以保密制度、特殊訪問機制、特定項目管理、人員許可程序加以治理；針對私營部門開展的科研活動所產生的涉密信息，以發明保密制度、漏洞公平裁決程序、受外國所有/控制或影響的企業管理機制等加以管理；對各類科研主體產生的科技領域受控非密信息，依據出口管制制度與基礎研究豁免制度進行管理。

3.1 美國政府科研活動的涉密信息管理機制

3.1.1 美國政府科研活動的信息定密機制 2009年，奧巴馬政府簽署的第13526號行政令《國家安全信息保密》確定了美國的定密制度，是美國現行的保密行政法令與管理指南。該行政令對涉密信息的密級、定密權限、定密范圍、解密時限等進行了詳細規定。

涉密信息被劃分為絕密、機密和秘密三個密級。初始定密權限被授予至眾多政府部門和內閣級機構的負責人（包括美國國家航空航天局局長、國防部長、能源部長、美國貿易代表和環境保護署署長等）。定密范圍包含與軍事、情報、外交、核問題、大規模殺傷性武器，以及與國家安全有關的科技、經濟活動等相關的8類信息[16]。即該行政令將“國家安全相關科學、技術或經濟事項”明確列為一種定密信息類別，其所轄范圍不僅限于國防部（U.S. Department of Defense，DOD）的軍事信息，美國聯邦政府資助的尖端技術研發成果也受其管轄。

美國聯邦政府資助的尖端技術研發通常受到DOD及能源部（U.S Department of Energy，DOE）的資助，并主要由DOE下屬國家實驗室及其他美國政府研究機構開展。許多研究被認定為與國家安全相關，并由各自所屬部門和機構確定為國家涉密信息。雖然該行政令明確規定“與國家安全沒有明確關聯的基礎科學研究信息不得被定密”，但尚無法律指導方針對如何區分是否存在上述關聯做出明確闡述。

3.1.2 美國政府科研活動的信息訪問機制 通常外國實體或公民無法獲取美國的涉密材料，僅可在某些情形下有限地接觸特定類型的涉密材料。

（1）DOD《美國國家工業安全計劃操作手冊》（National Industrial Security Program Operating Manual，NISPOM）關于“有限訪問權限”（Limited Access Authorization，LAA）的規定[17]

NISPOM規定，在極少數情況下，當一個外國公民擁有美國公民所不具備的獨特或特殊的技能或專業知識，且該技能或專業知識是支持一項需要接觸特定涉密信息的美國政府具體合同所迫切需要的，則此人可能會被授予LAA權限。然而，該條款應用于科研交流時存在一些限制。例如，不允許LAA人員訪問絕密信息、受限數據（Restricted Data，RD）、外國公民不可訪問信息（No Foreign Nationals，NOFORN）或通信安全信息（Communications Security，COMSEC）等信息類型，且不適用于持續性研究合作項目、不具備互惠互利精神。

（2）美國政府與其他國家共享涉密軍事情報（Classified Military Information，CMI）和其他敏感信息的指南和程序

美國政府已制定了一套指南與程序，以便與其他國家共享CMI和其他敏感信息。例如，美日兩國主要依據2007年簽署的《軍事情報保護協定》（General Security of Military Information Agreement，GSOMIA）框架共享軍事與情報秘密（尤其是涉及軍事、防務裝備、核能等領域的信息）。根據GSOMIA，獲得了各自政府頒發的“人員安全許可”的美日人員可參與CMI的傳遞。日本或美國政府實體產生的、與國防相關的科技情報均被納入了CMI范疇。雙方同意以“基本相同”的方式保護CMI，包括信息存儲、傳輸以及通過人員安全審查系統對訪問人員進行審查。

（3）DOD《國際項目安全手冊》關于“國家信息披露政策”（National Disclosure Policy，NDP）的規定[18]

美國國防部的NDP政策主要對技術數據、應用研發、受控非密信息（Controlled Unclassified Information，CUI）以及與國防或國家安全研究相關的國際項目信息進行約束管控。與外國實體或公民共享敏感或涉密信息前必須滿足符合美國的外交政策、符合軍事與安全目標、接收國有意愿與能力提供相當的信息保護、為美國帶來等價或更高利益以及進行最低程度信息披露等5項信息披露標準。其中，美國政府通過考察接收國是否簽訂雙邊GSOMIA協議、由國家信息披露政策委員會（National Disclosure Policy Committee，NDPC）進行實地調查、評估項目與美國標準的合規度、調查伙伴國的特定技術與能力、為GSOMIA簽訂《工業安全附件》（Industrial Security Annex，ISA）等方式，判斷接收國是否符合第三項標準。

3.1.3 美國政府科研活動的信息安全管理實踐

（1）DOD項目

為了促進關于敏感問題的國際研究合作且保障國家安全，DOD根據前述NDP政策的規定推出并資助與其他國家合作開展的研究項目。項目類型包括雙邊學術研究倡議（Bilateral Academic Research Initiative，BARI）、聯合作戰計劃（Coalition Warfare Program，CWP）、聯合原型計劃（Allied Prototyping Initiative，API）等（具體見表1）；合作形式包括數據和信息交流項目、工程師和科學家交流項目、特定的合作項目、國外比較測試（探索美國和外國制造的國防設備的兼容性）等。

（2）DOE項目

DOE作為美國實質上的科學研究部門，承擔國家實驗室網絡與人員管理、涉密與非涉密研究、經費撥款等職責，并定期發布融資機會公告（Funding Opportunity Announcements，FOAs）為特定領域研究提供競爭性資助。DOE的涉密工作主要包括核武器儲備項目“核武器庫存管理計劃”（Stockpile Stewardship and Management Plan，SSMP），以及DOD、情報系統、執法部門等委托合同任務。上述涉密項目主要由DOE核安全管理局（National Nuclear Security Administration，NNSA）所轄的勞倫斯利弗莫爾國家實驗室、洛斯阿拉莫斯國家實驗室和桑迪亞國家實驗室，以及DOE科學辦公室所轄的橡樹嶺國家實驗室、太平洋西北國家實驗室等機構承擔。同時，上述國家實驗室承擔涉密與非涉密研究項目。因此，DOE采取了多種信息安全保障措施（見表2）。

（3）美國國家科學基金會（U.S. National Science Foundation，NSF）項目

NSF作為美國聯邦政府的獨立科學基金資助機構，絕大多數經費流向高校和其他學術機構，小部分流向了小企業、非營利機構與私營企業。NSF的政策規定：NSF基金用于非涉密的、公開發布成果的科學研究；若研究產出了可能被視為涉密的信息或成果，則應遵照保護涉密信息的相關法規進行管理，研究人員有義務立即通知基金會項目管理人員或聯邦政府代表。此外，近年來，為應對中美競爭的加劇，NSF更新了其敏感研究政策，推出了嚴格科研誠信審查、創建研究安全戰略和政策小組等措施（見表3）。

3.1.4 美國政府的人員許可程序 為了確保政府機構與部門雇員的可靠、可信、忠誠，美國政府對其雇員、承包商、軍職人員進行背景調查、簽發安全許可，以確定對涉密國家安全信息的訪問權限[19]。目前，根據美國的13869號行政令，于2019年新成立的國防反情報與安全局（Defense Counterintelligence and Security Agency，DCSA）是負責相關職能的主要聯邦政府部門，受DOD情報副部長管轄。DCSA主要職能包括：①承擔約95%的聯邦政府背景調查工作，包括內部威脅分析、持續評估和審查計劃；②負責監督“國家工業安全計劃”（National Industrial Security Program，NISP）和NISPOM的實施，包括審批用于存放DOD等聯邦政府機構的涉密材料的承包商設施、監督擁有許可資質的承包商等。NISP旨在確保美國產業界在履行政府合同任務時充分準備，并有效履行保護涉密信息的責任。

3.2 美國私營部門科研活動的涉密信息管理機制

私營部門（尤其是非國防軍用的高科技企業）投資仍是美國絕大部分科研活動的資金來源。私營部門的技術研發超出了美國政府的涉密信息管控范圍，但政府可以根據《發明保密法》，頒發保密令、漏洞公平裁決程序、對受外國所有/控制或影響（Foreign Ownership， Control or Influence，FOCI）企業的管理規定等一系列安全審查程序，對相關科技信息進行管控。

3.2.1 發明保密制度 在美國的發明保密制度中，政府利用頒發保密令從而中止專利申請程序的方式確保涉密或敏感信息安全。根據1951年的《發明保密法》，當美國專利商標局的專利專員認定一項專利申請包含敏感技術信息或一旦公開將威脅美國國家安全的知識產權時，該專員可向專利申請人頒發保密令，限制其公布上述知識產權的能力。美國專利局通常不會向其發放外國專利許可，從而限制專利申請人在外國司法管轄區尋求專利保護的能力。專利專員與武裝部隊、國家安全局（U.S. National Security Agency，NSA）、DOE、國家航空航天局（U.S. National Aeronautics and Space Administration，NASA）和司法部（U.S. Department of Justice，DOJ）等部門官員協商判定專利是否包含上述信息，并對照列有可能被視為國家機密的技術類型名冊《專利保密等級審查清單》（Patent Security Category Review List，PSCRL）對潛在的涉密專利申請進行審查。

專利專員可簽發3類保密令[20]。①第一類保密令，是指在特定的國家進行外國專利申請的保密令。它適用于屬于出口控制但不屬于國家秘密的發明[21]，旨在限制軍事與太空應用等主題信息的傳播，同時不影響其使用、促進敏感技術的商業化推廣。②第二類保密令，是指對含有涉密或應保密技術信息的專利申請的保密令。它通常被頒發給與DOD簽署了安全協議或受安全協議約束的專利申請人[13]，申請人可根據NISPOM對這些信息進行披露。③第三類保密令，是指一般保密令。對不適用于前兩種保密令且專利申請包含應保密信息的其他情形，頒發此類保密命令。它通常被頒發給未與美國DOD簽署安全協議的專利申請人，禁止其在保密專員未明確允許的情況下披露相關信息。

3.2.2 漏洞公平裁決程序（Vulnerabilities Equities Process，VEP） 美國政府機構為進行情報收集和網絡間諜活動而搜尋、開發和使用“零日漏洞”的必要涉密任務，同時也需向可修補漏洞的開發人員進行漏洞披露以改善網絡安全、保護美國公民的個人信息和商業秘密等公共利益。為平衡兩者的關系，美國政府于2008年推出“漏洞公平裁決程序”（VEP）。根據該程序，如果由國土安全部、白宮行政管理和預算辦公室、國家情報總監辦公室、財政部、國務院、司法部等10個聯邦政府實體[22]構成的“公平裁決委員會”（Equity Review Board）成員認為披露某涉密漏洞將滿足一定公共利益，而不會損害軍事、作戰、情報、商業、執法或外交利益，那么可將其向軟件開發人員進行披露與報告以供修補漏洞，并可以選擇向盟國政府機構秘密通報漏洞[23]。

3.2.3 對受外國所有、控制或影響（Foreign Ownership， Control， or Influence，FOCI）的企業的管理規定 美國政府通過識別被外國所有、受到外國控制或影響（FOCI）的企業并限制其訪問涉密信息與設施、履行涉密合同的能力，確保在美外企不接觸到涉密與敏感信息安全。DCSA負責FOCI企業的管理。DCSA根據以下標準判斷企業是否為 FOCI企業，符合任意一條則被視為FOCI企業：①外國實體持有企業大量股權或債務；②非美國公民擔任董事會成員或者高級管理人員；③外國實體有權委任或者控制董事會；④依賴外國市場或實體獲取大量收入；⑤與外國機構有其他人員或財務往來。

FOCI企業需采取補救措施以減輕上述因素造成的影響：①通過董事會決議，確保可能控制企業或對企業施加影響的外國實體不能接觸任何涉密信息；②簽署“特別安全協議”（Special Security Agreement，SSA），創建一個基本獨立、完全本土化、具有財務可行性、負責處理涉密合同與信息的子公司，以與外國實體保持距離；③簽署“表決權信托”（Voting Trust Agreement，VTA）或“委托協議”（Proxy Agreement，PA），外國實體將其部分職權（如投票權、企業管理、合并或破產聲明）委托給一位經DCSA批準的美國公民[24]。

3.3 美國各類科研主體的受控非密信息（Controlled Unclassified Information， CUI）管理

除涉密信息外，美國政府對特定類型信息的訪問也加以限制。2010年，奧巴馬簽署的第13556號行政令提出“受控非密信息”（CUI）的概念，并對其傳播控制標準做出統一規定。CUI是指為政府創建或由政府創建、需要根據法律法規或政策加以保護的信息。各政府機構可自行確定哪些信息屬于CUI，但需遵循統一的CUI信息處理標準。總體而言，CUI既包括個人信息、人事記錄、健康記錄或其他受法律保護不予公開的、與國家安全或經濟安全無關的信息，也包括關鍵基礎設施、核、情報和出口控制研究等重要信息。美國政府主要采取出口管制的方式對CUI的傳播進行限制。

3.3.1 敏感技術信息的出口管制制度 作為美國敏感技術出口管制制度的一部分，《國際武器貿易條例》（International Trafficking in Arms Regulations，ITAR）和《出口管制條例》（Export Administration Regulations，EAR）是管理科技信息出口管制的兩個主要法規。其中，ITAR由國務院管理，主要涉及軍事和航空航天技術；EAR由商務部管理，涉及幾乎其他所有領域的敏感技術（如通信技術、非軍用核技術、工業技術、生物或化學技術等）。DOD和其他機構也在美國出口管制制度中發揮作用，即大部分出口管制研究均受商務部工業和安全局（Bureau of Industry and Security，BIS）的管轄，BIS有權確定哪些研究屬于CUI、需受出口管制許可要求的約束，這對由外國公民開展的、涉及外國資金的研究有重要影響。總體而言，敏感主題領域的科技信息可能需受到控制，但其并不一定是CUI（除非屬于政府開展的或政府委托開展的研究活動）；BIS可能會視情況以CUI的管理方式對某些敏感研究加以限制，甚至將其標記為CUI，從而對其進行出口管制。

3.3.2 基礎研究豁免與例外 根據1985年里根總統簽署的“第189號國家安全決策指令”（National Security Decision Directive-189，NSDD-189），大多數高校開展的基礎研究享受“基礎研究豁免”，即聯邦政府資助的高校開展基礎研究產出的敏感技術與軟件等科技信息，應盡可能不受或受較少的出口管制。除《美國聯邦法規》（Code of Federal Regulations，CFR）第15條明令禁止的事項外[25]，只要不違反下列條件，即可進行由外國公民開展的、受外國經費資助的定期的科研活動：①主要研究人員需有意發表基礎研究的成果（如書籍、學術論文等）；②研究資助者不得對任何研究成果的發表有任何事先限制，以及資助者和主要研究人員間不得有任何交換條件；③聯邦政府資助的研究成果需經預發布程序確定是否含有敏感研究，審查機構具有自由裁量權，可能發現不符合基礎研究豁免的情況；④不得對基礎研究的實體產品進行跨國轉移，只可發布及允許學界獲取研究結果；⑤基礎研究必須在美國境內進行。

企業研發等不符合上述條件的研究所產出的技術和軟件信息可能被BIS視為CUI，并受出口管制限制；但被識別為CUI的研究及其成果仍可被用于國際信息共享。相關方可向BIS申請出口許可證，以獲取帶有“可向某國發布（REL TO[country]）”[26]標記的CUI。BIS對相關申請一事一議并可能提出特別要求，對外國實體、非執行分支實體等的CUI披露還需以書面協議等形式進行規范管理與限制。

3.4 美國近年強化科技領域信息安全的舉措

自2018年美國政府發動對華貿易戰以來，美國持續加大對中國高科技發展的封鎖和圍堵，以我國“知識產權盜竊”“強制技術轉移”等為借口，在部分高技術領域采取保護主義措施，以加大對我國的技術出口管制、人員審查力度等方式，限制中美科技領域信息交流，掐斷中美科技交流合作，意圖在高技術領域與我國“科技脫鉤”（見表4）。對中國科研機構等的“實體清單”限制的加大，致使中美科技合作與交流受到嚴重阻礙。

總而言之，美國政府的科技領域信息安全體系較為完善成熟，各類法規政策交叉配合，實踐操作靈活，且尤為注重在信息的保密與解密之間取得平衡：一方面，出于國家與公眾利益而對涉密與敏感信息的傳播加以限制；另一方面，為維護公民的知情權、促進知識的流動而不斷解密。此外，隨著近年來中美戰略競爭的白熱化，美國政府的科技領域信息治理舉措顯露出一些新趨勢：一方面，多部門合力限制中美科技交流與合作，試圖擾亂中國科技崛起；另一方面，敦促盟國完善涉密信息與敏感信息治理體系，推進與其在關鍵技術領域開展科技信息共享與合作。

4 日本科技領域信息安全體系

自二戰以來，日本對國家安全和軍事秘密的處理一直是學術界、反對黨和普通民眾密切關注的對象。日本近年通過設立國家安全委員會（National Security Council，NSC）、頒布《特定秘密保護法》（Act on the Protection of Specially Designated Secrets，SDS Act），以改善決策過程，加強對敏感信息的控制，從而強化首相對國家安全政策的管理能力。整體而言，日本的科技領域信息安全體系起步較晚，目前尚不完善且管控力度較低。

4.1 日本政府科研活動的信息管理機制

4.1.1 日本政府科研活動的“特定秘密指定”機制

日本SDS法對“國家涉密信息”進行了嚴格界定，包括4類信息：軍事防御信息（如防御行動、計劃、防御密碼學和防御設備）、外交信息、反情報行動信息（防止在日本的“有害活動”）及恐怖主義信息。SDS法的國家涉密信息清單是詳盡的準許清單，即未列明的信息類別則不被視為國家涉密信息。

SDS法在“國家涉密信息”方面存在一些不足：①對于可能涉及經濟或科技領域信息的廣義國家安全信息，以及“軍事防衛”及武器秘密以外的、事關國家安全的非軍事研究科技信息，SDS法并未明確規定定密職權；②SDS法對國防設備相關研發信息加以保護，但僅限于現有設備及有撥款支持的特定武器系統，故不適用于具有潛在軍民兩用的技術或產品的科學探索或研發；③擁有權限指定國家秘密的部委機構較少，僅限于防衛省、外務省、經濟、貿易和工業部、法務省等，且上述機構行使職權的次數相對較少。例如，文部科學省（Japan’s Ministry of Education， Culture， Sports， Science and Technology，MEXT）仍無權指定國家秘密，盡管其承擔著日本原子能研究開發機構的監督職權，且是最大的科研經費撥款政府部門。

4.1.2 日本政府科研活動的人員許可程序 SDS法就公職人員與私營承包商獲得個人安全許可、查看和處理涉密信息的流程進行了規定。內閣秘書處在此基礎上制定相關標準并監管其執行，各個部委與機構承擔個人許可的簽發工作。日本的個人許可審查程序和標準與美國相似，申請人需填寫詳細的個人信息表格，并接受背景調查，并需五年重新進行一次評估。各部門的人事辦公室利用其掌握的人事記錄，與日本國家警察廳、公安調查廳和內閣情報調查室協同調查其犯罪記錄、藥物濫用或其他具有潛在危害的行為或個人關系的指控記錄。合同任務中含有涉密信息訪問需求的政府承包商也可申辦許可。

SDS法在人員許可程序方面存在一些不足：①對信息保密對象和內容進行了嚴格限制，獲得許可的日本人員數量相對較少；②SDS法只涵蓋與軍事裝備直接相關的科技信息，政府無權向非軍事研究人員或私營部門雇員授予安全許可，這極大地影響了美日在非軍事領域開展潛在技術合作，也不利于本土企業利用盟國政府共享的涉密網絡安全信息，以保護自身免受零日攻擊。

4.1.3 日本政府的科技管理體系與信息管理實踐

日本主要以制定“科學技術五年計劃”的形式指導科技決策與資助。2021年的“六五計劃”強調增加公共投資，推動數字化轉型，在教育中融合自然科學和人文社會科學以刺激科技創新，制定“技術外流對策”。在日本的科技管理體系架構中，綜合科學技術創新會議（Japan Council on Science， Technology and Innovation，CSTI）負責科技研發的基本資助計劃；MEXT是科研活動的主要參與方，負責管理日本的頂尖科研機構；經濟產業省（Japan Ministry of Economy Trade and Industry，METI）、內政部及通信部（Japan Ministry of Internal Affairs and Communications，MIC）也日益發揮更大的作用和影響力（見圖1）。

相較于美國，日本的科研經費來源具有鮮明特點：①政府在整體科研經費投入方面的作用較小。MEXT是為日本科研活動提供最大經費來源的政府機構，其次是METI，環境省的科研撥款也逐漸提高；②政府對私營部門研發的直接經費支持相對較低；③外資對日本科研活動的支持極少。

近年來，日本政府通過多種形式加強對科技領域信息的管理力度，針對盟國促進國際合作，針對競爭國家加強信息安全防范：①依托多個重大計劃積極招募國際合作伙伴，提高科研活動的國際合作元素，如旨在復興科技創新立國的新項目“登月型研究開發制度”、2050年前實現碳中和的目標、數字化轉型事業等；②為保護人工智能、量子計算、數據流等領域的科技成果與進展不被中國所利用，政府正計劃起草一份國家經濟和技術安全戰略，并已開始對申請公共基金的高校研究人員實施更嚴格的信息披露規則，在撥款前識別與中國資助方或項目的關聯，從而加強日本本土研究的完整性。

4.2 日本私營部門科研活動的信息管理機制

日本的國內研發主要受私營部門的資金支持，且基本不受政府控制。根據日本《外匯及外國貿易法》（Japan Foreign Exchange and Foreign Trade Act，FEFTA），政府可通過出口管制和投資限制等技術安全工具管理私營企業的對外合作。但該法律適用范圍較為有限，且對外國交易僅施加“最低限度的必要管控或協調”。

（1）政府認定的出口管制范圍狹窄。通常只有在與履行國際條約、維護國際和平與安全的義務相關（如維護《軍備控制條約》、限制野生動植物貿易）時，日本內閣方可做出實施出口管制或投資限制的決定。其中，“旨在提供與特定商品的設計、制造或使用有關的技術”的交易被視為一種服務交易，需經過METI的許可才能進行技術信息的轉讓。目前，日本僅認可“瓦森納安排”和“核供應國集團”等多邊軍備控制制度下的技術信息轉讓。

（2）對于未明確考慮到軍備控制軍民兩用用途的技術研究數據或設計信息，尚沒有可靠靈活的法律對其出口進行管理。日本內閣的管制措施只適用于居民和非居民之間的交易。因此，在日本合法生活和工作超過6個月的外國科學家不受上述限制，日本企業雇用的、參與其在日本境內的研發活動或從事被美國法律界定為出口活動的外國員工，無需日本METI的許可即可接觸到受控技術。政府嚴重依賴私營部門對企業商業秘密的保護措施。

（3）受出口控制的商業研究未被納入FEFTA。根據FEFTA，日本內閣政府確實可以“在為維持日本和平與安全的特需時刻”干預特殊的國際金融交易、投資、進出口案例。迄今為止，該法主要被用于對朝鮮實施經濟制裁與貿易管制。

（4）缺乏保密專利管理體系和可以裁決涉密信息民事或刑事案件的保密法庭系統，如未明確可授予專利分類權力的部門等。

近年來，日本已自主或在美國的敦促下采取措施，加強對私營部門科研活動生成的科技領域信息的保護，具體包括兩方面。①加強對合法外國投資的審查。2020年修訂FEFTA，針對可能對國家安全構成潛在威脅的特定經濟領域（如電力、天然氣、通信、交通等關鍵基礎設施）降低采購批準閾值、增加事先通知要求，且增設新的數據處理（含半導體、數據存儲等）、信息處理相關軟件以及電信業務（如與互聯網應用和移動通信相關業務）種類。②增強私營部門保護商業秘密和技術的能力，防止外國公民從事工業間諜活動。2018年，日本政府通過《產業競爭力強化法》修正案，為本土工業安全制定統一標準及檢驗企業符合高標準的認證程序。然而，該認證程序只涵蓋非涉密材料和企業專有信息，并未對私營部門的涉密材料提供保護。

5 啟示與建議

鑒于科技領域信息安全對科技安全乃至國家總體安全的重要戰略意義，各國已紛紛通過法律法規、保密制度、知識產權制度、出口管制政策等方式，控制科技領域涉密信息的傳播[27]、保障科技領域敏感和關鍵信息安全。我國在國家秘密保護和信息安全管理領域起步較晚，隨著近年來國內經濟、科技的快速發展和國際政治形勢的日益復雜，我國已迅速制定和出臺一系列法律法規和政策措施。例如，2015年11月修訂《科學技術保密規定》；2016年11月通過《網絡安全法》；2018年8月頒布實施《國家科學技術秘密定密管理辦法》和《國家科學技術秘密持有單位管理辦法》；2020年12月實施《出口管制法》對敏感技術等出口加以管理；2021年6月10日通過《中華人民共和國數據安全法》；2021年8月通過《個人信息保護法》；2021年9月印發《知識產權強國建設綱要（2021—2035年）》等。這些法規戰略反映了我國對科技活動中敏感與涉密信息的逐漸重視，推動了我國科技保密管理政策體系日漸完善、科技保密工作逐漸制度化和規范化，為開展科技活動、推動科技進步和加強科技安全提供重要保障。

總體而言，我國的科技信息安全仍面臨眾多挑戰：①中美“科技脫鉤”與國際科技競爭加劇的環境，亟需保障高技術領域信息安全與知識產權安全、完善科技領域信息安全治理體系、服務新時期的國際科技競爭與合作需求；②新一輪科技革命和產業變革加速演變，人工智能、大數據、區塊鏈、云計算等一系列新技術為信息安全本身帶來極大技術挑戰；③科技體制改革的深化推動科技創新體系主體多樣化、科技合作與交流形式豐富化，科技信息安全治理復雜，保密管理工作難度大；④軍民融合創新，對合理平衡涉密與敏感工作的信息安全與信息共享提出較高要求。

通過系統梳理和分析美日兩國對政府、高校院所、私營部門等不同主體開展的科研活動中涉密與敏感信息的管理機制，本文提出以下幾點啟示與建議。

（1）強化各類責任主體的科技信息安全意識。要提高各類科技活動主體的科技安全與信息安全意識，研究加強我國高新科技發展的信息安全體系建設。我國要樹立“科技安全發展”的理念[4]，提高各類科技活動參與主體的科技安全與信息安全意識，提升信息化條件下的科技領域信息安全日常防范工作整體水平；加強我國的高新科技發展的安全體系建設，明確各類活動主體與職責，形成信息安全方針政策制定、工作部署落實、監督反饋的全流程管理體系，防范各種形式的高科技間諜活動和網絡安全漏洞，以保障我國的最新科技成果的絕對安全。

（2）全面完善科技信息安全治理體系。要完善我國有關國際科技合作的信息安全法律法規制度，既促進有效和實質性的國際科技合作，又防范關鍵科技信息的泄露。要進一步梳理制約我國開展國際科技競爭的信息安全瓶頸，彌補國際科技合作的信息安全漏洞，完善有關國際科技合作的信息安全法律法規制度、規范國際科技合作行為。一方面，要切實保障我國關鍵科技領域信息的安全：①加強專利申請保密審查制度的相關監督措施；②完善人員許可程序，嚴格涉密與敏感科研機構的員工管理政策；③建設外國敏感人員與實體清單或數據庫，構建與利用“科技風險矩陣”篩選，加強對潛在外國科技合作對象的審核；④嚴格涉外科技合作中的科研誠信審查。另一方面，要促成合理的國際科技合作：①探索雙邊及多邊科研活動信息訪問機制，通過簽訂政府間、政府與非政府機構間國際協議或特定項目安全協議、制定項目指南與操作流程、利用人員安全許可機制等方式，對涉密或敏感知識產權與數據等信息進行合理共享與有效保護；②完善保密專利解密程序、網絡安全披露規則體系、敏感信息管理制度，以實現信息資源的合理利用。

（3）提高科技信息安全治理能力。要探索與完善分類分級的科技領域信息安全治理模式，提高科技安全與科技領域信息安全重大風險預判、防范與化解能力。根據科技活動主體類別、科技領域范疇、涉密與敏感程度、合作或競爭對象等，探索與完善分類分級、覆蓋全面而操作靈活的信息安全治理模式。關注與追蹤全球科技領域信息安全發展態勢與舉措，形成適用于我國科技合作與競爭活動的信息安全政策包、工具箱，提高重大風險預判、防范、化解能力與系統彈性。圍繞關鍵核心技術等的信息安全問題，建設科技、產業、執法、外交等跨部門政策聯動與合作配合機制。

參考文獻：

[1] 張志強. 世界百年未有之大變局與智庫使命和智庫建設[J]. 智庫理論與實踐， 2020， 5（4）： 1-12.

[2] 任澤平. 中美科技實力對比： 全球視角[J]. 發展研究， 2018（8）： 4-10.

[3] 以高水平科技安全支撐和保障國家總體安全[N]. 科技日報， 2021-04-15（001）.

[4] 張志強. 堅持科技發展正確理念，實現科技自主自立自強[J]. 世界科技研究與發展， 2021，43（1）： 1-7.

[5] 劉玲利. 科技資源要素的內涵、分類及特征研究[J].情報雜志， 2008， 27（8）： 125-126.

[6] 馬一德. 知識產權安全是國家安全的主戰場[N]. 中華工商時報， 2021-09-07（003）.

[7] 夏文婷. 我國科技項目合作中的國家涉密科技信息安全政策研究[D]. 天津： 天津大學， 2019.

[8] 連燕華，馬維野. 科技安全：國家安全的新概念[J]. 科學學與科學技術管理， 1998， 19（11）： 20-22.

[9] 馬維野. 科技安全：定義、內涵和外延[J]. 國際技術經濟研究， 1999（2）： 13-17.

[10] 王世偉. 論信息安全、網絡安全、網絡空間安全[J].中國圖書館學報， 2015， 41（2）： 72-84.

[11] 伍旭川， 劉學. 淺談金融科技信息技術安全三個重要體系的建設[J]. 債券， 2017（8）： 52-54.

[12] 梁毅劼， 莫彬， 李云祥， 等. 網絡環境下農業科技信息安全與對策研究[J]. 農業網絡信息， 2008（12）： 90-93.

[13] 袁曉東， 張軍榮， 馮靈. 美國發明保密制度的歷史沿革、運行及評價[J]. 自然辯證法通訊， 2013， 35（4）： 70-75， 87， 127.

[14] 孫寶云， 趙冬. 論美國保密制度的特點及對中國的啟示[J]. 理論與改革， 2011（4）： 24-29.

[15] SCHOFF J L， RAKE D E， LEVY J. A high-tech alliance： Challenges and opportunities for U.S.-Japan science and technology collaboration[R]. Washington D C： Carnegie Endowment for International Peace， 2021： 8-38.

[16] The White House. Executive order 13526- Classified National Security Information[EB/OL]. （2009-12-29）[2021-10-16]. https：//obamawhitehouse.archives.gov/thepress-office/executive-order-classified-national-security-information.

[17] National Archives. National industrial security program operating manual （NISPOM） [EB/OL]. （2020-12-21）[2022-04-17]. https：//www.federalregister.gov/documents/2020/12/21/2020-27698/national-industrial-security-program-operating-manual-nispom.

[18] U.S. Department of Defense. “National Disclosure Policy” in international programs security handbook （2009）[EB/OL]. [2021-10-17]. https：//www.dscu.mil/documents/ publications/international_programs_security_handbook/ Chapter3_04052010.pdf.

[19] Defense Counterintelligence and Security Agency. Investigations， adjudications and clearance processes at a glance[EB/OL]. [2021-10-17]. https：//www.dcsa.mil/mc/ pv/mbi/gicp/.

[20] The United States Patent and Trademark Office. Manual of patent examining procedure， chapter 0100， section 120[EB/OL]. （2020-06-25）[2021-10-10]. https：//www. uspto.gov/web/offices/pac/mpep/s120.html.

[21] 袁曉東， 王平. 美國保密發明審查機制研究[J]. 知識產權， 2017， 27（2）： 104-108.

[22] 桂暢旎， 楊婧婧， 李維杰. 美國《漏洞公平裁決政策和程序》分析及對我國啟示[J]. 信息安全與通信保密， 2018， 16（1）： 43-51.

[23] The White House. Vulnerabilities equities policy and process for the United States government[EB/OL]. （2017-11-15）[2021-10-10]. https：//trumpwhitehouse.archives. gov/sites/whitehouse.gov/files/images/External%20-%20 Unclassified%20VEP%20Charter%20FINAL.PDF.

[24] Defense Counterintelligence and Security Agency. Foreign ownership， control or influence （FOCI）[EB/OL].[2021-10-10]. https：//www.dcsa.mil/mc/ctp/foci/.

[25] National Archives. Code of federal regulations， title 15 subtitle B chapter VII Subchapter C Part 734[EB/OL].[2021-09-09]. https：//ecfr.federalregister.gov/current/title-15/subtitle-B/chapter-VII/subchapter-C/part-734.

[26] Center for Development of Security Excellence， CDSE. NOFORN/REL TO： A Quick Reference Guide to Dissemination Controls[EB/OL]. [2021-09-09]. https：//www. cdse.edu/Portals/124/Documents/jobaids/information/ NOFORN_pamphlet.pdf？ver=zFoXXEt3zvnAadlFnWSZMw==.

[27] 鐘燦濤. 開放與保密： 科技信息傳播控制及其對創新的影響： 以美國科技信息傳播控制機制為例[J]. 科學學研究， 2013， 31（3）： 335-343.

作者貢獻說明：

唐 璐：收集、整理資料和信息，撰寫文章；

張志強：確定選題與研究思路，修改審定論文；

陳云偉：修改審定論文。

Analysis and Enlightenment of the U.S. and Japanese Information Security System in Science and Technology Field

Tang Lu1 Zhang Zhiqiang1，2 Chen Yunwei1，2

1Chengdu Library and Information Center of Chinese Academy of Sciences， Chengdu 610041 2Department of Library， Information and Archives Management， School of Economics and Management， University of the Chinese Academy of Sciences， Beijing 100190

Abstract： [Purpose/significance] Information security is an essential part of national security. This paper makes an in-depth study of the U.S. and Japanese information security governance system in S&T field. Hopefully， this study may provide references and reflections for China’s construction of information security governance system for S&T， especially for high-tech， so as to safeguard China’s classified and sensitive S&T information， provide a solid institutional foundation for striving for high-level S&T self-reliance and self-improvement， and assist China’s international cooperation and competition in this new era. [Method/process] This paper mainly investigates and summarizes the governance mechanisms and practices of classified and sensitive information in the field of S&T in the U.S. and Japan， including their classification regimes， personnel clearance processes， classified patents regimes， and export control regulations， etc.. The diversified management methods of S&T classified and sensitive information generated in research activities conducted by different actors， i.e.， the governments， universities/institutions and private sectors are combed and further interpreted in the current context of China-U.S. competition. [Result/conclusion] It reveals that the U.S. possesses a relatively mature and integrated information security system for S&T， with intersecting and coordinated laws and regulations， and flexible and practical operations. It stresses the balance between information confidentiality and information decryption， and adopts a sorted and tiered S&T information sharing and cooperation mechanism targeting different countries. Japan’s construction of its information security system for S&T started relatively late and is making gradual improvement. It suggests that China should study and strengthen the construction of information security system for high-tech， perfect its laws and regulations for international S&T cooperation， and explore sorted and tiered information security governance mode for S&T.

Keywords： information security system for S&T U.S. Japan China-U.S. Competition S&T security